Acces à la DMZ quand je suis connecté en VPN ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Acces à la DMZ quand je suis connecté en VPN ?

Messagepar florent.dallot » 08 Sep 2009 08:33

Bonjour à tous,

Ma config IPCOP 1.4.21/3 Zones (Vert,Orange,Rouge)
OPENVPN ZERINA-0.9.5b, avec authentification Radius.

Côté VPN tout fonctionne bien : accès au réseau vert.

Mon pb : Mon serveur de messagerie n'est accessible que par le réseau Orange.
Une fois connecté en VPN impossible d'établir la connexion avec mon serveur de messagerie.

En local, depuis le réseau vert pas de pb.

Est t'il possible d'autoriser les clients VPN à dialoguer avec le réseau Orange ?
Si oui comment ?
florent.dallot
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Sep 2009 06:58
Localisation: Réunion (974)

Messagepar Titofe » 08 Sep 2009 09:24

De mémoire ...

Tu te connecte en SSH sur IPCop et tu va dans 'var/ipcop/ovpn/' la tu ouvre server.conf avec ton editeur de texte favoris, puis tu enlève les # ou ; (je me souvient plus) devant les routes que tu veux utiliser.

Ex: # push "route 192.168.1.0 255.255.255.0" devient push "route 192.168.1.0 255.255.255.0"

Titofe
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar florent.dallot » 08 Sep 2009 11:05

Je testé ta solution, je pense que cela revient à ce que j'avais fait (je poussais la route depuis le client Openvpn)

Dans Etat/Connexion je trouve des traces :


43 | SYN_SENT | 172.16.1.6 :62059 | 1x9.1x4.x7.3x :1352 | 1x9.1x4.x7.3x :1352 | 172.16.1.6 :62059 | [UNREPLIED]

ou 1x9.1x4.x7.3x est l'@ ip de mon serveur de messagerie
florent.dallot
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Sep 2009 06:58
Localisation: Réunion (974)

Messagepar Titofe » 08 Sep 2009 16:23

florent.dallot a écrit:... je pense que cela revient à ce que j'avais fait (je poussais la route depuis le client Openvpn) ...


Non, sauf erreur de ma part.
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar florent.dallot » 08 Sep 2009 16:58

Mon pb vient peut être du fait que j'ai des routes en dur sur mon ipcop qui redirige mon LAN vers ma DMZ dans certains cas Messagerie/Intranet...
florent.dallot
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Sep 2009 06:58
Localisation: Réunion (974)

Messagepar Titofe » 08 Sep 2009 21:01

florent.dallot a écrit:Mon pb vient peut être du fait que j'ai des routes en dur sur mon ipcop qui redirige mon LAN vers ma DMZ dans certains cas Messagerie/Intranet...

Quelle sont tes paramètre, ceux que tu à indiquer dans Zerina, tu nous en parle nul part ?
A tu fait ce que je t'ai dit ?
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar florent.dallot » 09 Sep 2009 06:31

J'ai modifié server.conf

#OpenVPN Server conf

plugin /var/ipcop/ovpn/radiusplugin.so /var/ipcop/ovpn/radiusplugin.cnf
daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local 10.0.0.8
dev tun
tun-mtu 1400
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 172.16.1.0 255.255.255.0
push "route 1X9.1X4.22.0 255.255.255.0" (mon réseau vert)
push "route 1X9.1X4.87.0 255.255.255.0" (plage de la messagerie dans la DMZ)
keepalive 10 60
status-version 1
status /var/log/ovpnserver.log 30
cipher BF-CBC
push "redirect-gateway def1"


dans les options avancées de zerina j'ai activé Redirect-Gateway def1


LS ------ROUTEUR---------(ORANGE)IPCOP(ROUGE)---------ROUTEUR------ADSL
(VERT)
|
LAN
florent.dallot
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Sep 2009 06:58
Localisation: Réunion (974)

Messagepar Titofe » 09 Sep 2009 06:39

Un petit détaille que j'ai oubliez et qui je pense à son importance, une fois en installant Zerina sur un IPCop j'avais oubliez de faire la manip que je t'ai indiquez, mais avait déjà créer le client, une fois la manip faite il a fallut recréer le le client, sinon ça ne fonctionnais pas.
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar jdh » 09 Sep 2009 07:24

Pour permettre l'accès à Green et Orange, il faut bien sur un "push route" pour chacun des réseaux.

Mais je vois qu'il y a sur la zone Orange un routeur et une LS.
Donc la question est : est ce que le serveur de messagerie dispose des routes pour atteindre le réseau Green ET le réseau VPN ?

Plus simplement : quelle est la table de routage du serveur de messagerie ?


(Comme quoi, cet élément caché au départ "oh beh non ça doit pas intervenir" est assez clair : même ce qui ne parait avoir pas de rapport peut en avoir ... Quand on répète qu'il faut mettre dès le départ des informations ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité